北京
歐洲刑警組織上星期端掉的兩個數據中心,揭開了俄羅斯黑客組織如何用“換殼”把戲持續攻擊歐洲多年的黑產鏈條。荷蘭金融犯罪調查局(FIOD)在一次突擊搜查中,直接查封了800臺服務器,逮捕了兩名據稱向克里姆林宮關聯黑客組織NoName057(16)提供托管服務的男子。
被端掉的兩家托管公司一個叫WorkTitans,一個叫MIRhosting,都涉嫌違反歐盟制裁令——把服務器租給被制裁對象控制的實體,幫他們繞開禁令繼續干活。FIOD把兩家數據中心全給關了,服務器直接搬走。
逮捕的兩個人身份很清晰:57歲的WorkTitans老板Youssef Zinad,還有39歲的MIRhosting創始人Andrey Nesterenko。Nesterenko是住在荷蘭的俄羅斯公民,有個讓人意外的身份——拿過獎的音樂會鋼琴家。他在LinkedIn上否認自己有問題,說早在那些被制裁的人上了黑名單之后,就切斷了跟他們的關系,MIRhosting也沒在自己網絡上發現過什么可疑活動。
但追查這條制裁線索的過程,遠比Nesterenko說的復雜得多。整件事的源頭是兩個摩爾多瓦兄弟,Iurie Neculiti和Ivan Neculiti。他們開的Stark Industries Solutions托管公司,在2022年俄羅斯全面入侵烏克蘭之后,成了歐洲境內俄羅斯網絡攻擊最猖獗的“助推器”之一。2025年5月,歐盟正式把Neculiti兄弟和他們的公司列入制裁名單,指控他們幫俄羅斯國家支持的黑客搞網絡攻擊、虛假信息戰以及針對歐盟成員國的其他顛覆活動。
問題是這倆人消息靈通得讓人生疑。據網絡安全博客Krebs on Security報道,摩爾多瓦和歐盟媒體在制裁公布前大概12天就報出了黑名單的事,等于提前給兄弟倆發了預警。制裁還沒落地,Stark Industries就已經改名THE.hosting,把業務轉移到了WorkTitans BV——就是這次被荷蘭警方端掉的那家實體。換句話說,支撐網絡攻擊的基礎設施根本沒動,連物理服務器都是原來那批,只是換了個公司名頭的殼,繼續在荷蘭跑著原來的活。
查封的這800臺服務器,直接跟NoName057(16)有關。這個親俄黑客組織從2022年開始,專搞分布式拒絕服務攻擊(DDoS),把歐洲各國的政府網站、銀行服務、關鍵基礎設施挨個打了一遍。手法簡單粗暴:用流量把目標網站灌到癱瘓下線。這招沒什么技術門檻,但足夠讓丹麥政府機構、法國郵政服務統統中招,中斷業務。
NoName057(16)可不是什么野路子自愿者團隊。美國司法部早已認定,這個組織本質上是克里姆林宮支持的項目,成員里包含了一個叫Center的機構雇員。至于是什么樣的Center、具體承擔什么職能,目前披露的細節還不多,但“受國家支持”這個定性已經足夠說明,歐洲這些年遭遇的不是零散的網絡流氓行為,而是有組織、有靠山的系統性攻擊。
從Neculiti兄弟提前得知制裁消息、到Stark Industries秒變THE.hosting、再到服務器無縫遷移到荷蘭繼續運作,整條路徑暴露了一個尷尬的現實:即便有制裁清單,只要托管商愿意配合、法人代表換得夠快,支撐國家級網絡攻擊的底層設施就可以像換衣服一樣脫掉舊殼穿新殼。FIOD這次查抄,打掉的是一個節點,但類似的殼公司會不會還在其他歐洲城市繼續運轉,沒人敢打包票。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
